Katalog CVE

CVE-2026-28742

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.51%

Percentyl 39 — wyżej niż 39% wszystkich znanych CVE

Streszczenie

Urządzenia Naxclow wykorzystują jednolity schemat podpisywania żądań oparty na wbudowanej w każdym obrazie oprogramowania soli. Po odzyskaniu tej soli z dowolnego urządzenia, atakujący może generować ważne podpisy dla dowolnych operacji urządzenia lub konta, co prowadzi do możliwości fałszowania żądań i podszywania się pod użytkowników.

Ocena ryzyka

Brak unikalnych kluczy dla każdego urządzenia oraz brak ochrony przed powtórnymi żądaniami stwarza poważne ryzyko dla bezpieczeństwa platformy, umożliwiając atakującym przejęcie kontroli nad urządzeniami i kontami użytkowników.

Rekomendacja

Zaleca się wprowadzenie unikalnych kluczy dla każdego urządzenia oraz implementację mechanizmów ochrony przed powtórnymi żądaniami. Dodatkowo, należy przejść na bezpieczny protokół HTTPS dla ruchu kontrolnego.

Oryginalny opis (angielski, źródło NVD)

Naxclow devices use a uniform request-signing scheme based on a hard-coded, platform-wide salt embedded in every firmware image. Once this salt is recovered from any device, an attacker can generate valid signatures for arbitrary device or account operations due to the absence of per-device keys, server-side nonce tracking, or replay protections. Combined with the system’s use of plain HTTP for control-plane traffic, the construction enables broad request forgery and impersonation across the platform.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS